新闻源 财富源
账号密码+短信验证码登录，仍不保险
&&来源：&&作者：佚名&&责任编辑：罗伯特
　　CNNIC（中国互联网络信息中心）最新发布数据显示，截至2014年6月，我国移动支付用户规模达到2.05亿，半年度增长率为63.4%，网民手机支付的使用比例已提升至38.9%。
　　消费正在迈入移动支付时代，移动支付的安全性如何？昨天，360互联网安全中心发布了《2014年第二期中国移动支付安全报告》，最重要的内容是对目前安卓平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评。报告告诉我们：你正在使用的银行手机客户端没那么安全。
　　16家银行的最新版APP
　　安全性测评不过关
　　“测试的版本都是网上能下载到的最新版的银行手机客户端。”360安全专家万仁国告诉记者，测评的主要内容包括登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试，“是非常全面的一次安全性测评。”
　　手机银行客户端作为网上支付的重要工具， 其自身的安全性是网民账户、资金安全的基础。结果记者在报告中看到，这16款最新版本的银行手机客户端仅个别APP在登录、键盘输入环节安全性较高，但在后面几项关键性测评中所有APP都拿了零分。
　　“为避免具体测试方法和银行客户端漏洞被人恶意利用，我们暂时不会公开每个银行客户端的具体测评结果及敏感试细节。”360互联网安全中心相关负责人透露，秘密报告目前已经提交给了各家银行，也会做后续跟进。
　　在测评中拿分最高的是登录环节，16款银行手机客户端中9款有加密机制，有13款进行服务器证书校验。这是不是说明这些APP至少在登录验证环节还是安全的？
　　“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系，在面对具有短信劫持功能的手机木马攻击时，都显得非常脆弱。”一位安全专家告诉记者，今年5月他们曾拦截到一款伪装成银行客户端升级包的网银支付木马，表面看与银行手机客户端的登录界面一模一样，当用户登录时木马就会提示“系统升级中请稍候”，实际上此时，木马正在向一个“”的神秘号码发送激活短信。
　　然后，黑客使用控制号码向感染木马的手机发送一条短信， 向银行服务器请求一个授权码。银行服务器系统发送这样一条短信，原本是要保证手机客户端与特定号码绑定。如果用户在手机银行客端中正确输入了这个授权（有些软件会自动检测授权码短信），那么以后服务系统再发送消费通知、验证码等信息就会都发送到这个被绑定的手机号上。但这种验证方式安全性前提是必须保证授权短信只有使用该手机号码户能够看到。如被拦截案例中这样，木马程序会窃取并劫持授权短信的话，那就十分危险了——这意味着你收到的短信，黑客也能看到。
　　“后来我们查到这是一个福建泉州的联通手机号。”这位安全专家直言，虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。
　　更可怕的是，一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。报告测评结果显示，在16款手机银行客户端软件中，没有任何一款客户端能单独解决这类问题。
　　你用的APP输入键会变吗
　　自绘随机键盘更安全些
　　16款下载最多、使用最广的银行手机客户端都有安全漏洞，普通用户如何来分辨呢？对普通用户来说，你只能选择使用或不使用，却无法保证自己使用的银行手机客户端足够安全。
　　“键盘输入安全性较高的是自绘随机键盘，这个比较容易判断，打开银行客户端输入密码时，每次弹出来的键盘都不一样的就是自绘随机键盘。”360安全专家万仁国说，除了银行外，像证券等行业应用也会使用自绘随机键盘，“自绘随机键盘的使用肯定会增加客户端的开发成本，但在被评测的16款银行客户端中使用率不高不一定是成本原因，也有可能是设计人员没有考虑到，但判断一个银行客户端的安全性高低不仅仅从密码输入判断，还需要整体分析。”
　　事实上，提高银行手机客户端的安全还不够，因为手机系统本身也有漏洞，很容易被攻击，网民手机支付的使用比例正在以每年20%左右的速度增加，移动支付的安全问题需要引起更多关注了。
高清图集赏析
此页面上的内容需要较新版本的 Adobe Flash Player。用户名：carllai
文章数：60
评论数：38
访问量：57950
注册日期：
阅读量：1297
阅读量：3317
阅读量：581205
阅读量：465820
51CTO推荐博文
&2台Linux机器之间的相互ssh免密码登录，假设A, B 2台电脑，都有用户user1。
&在Host A上， 以用户user1执行命令
ssh-keygen&
生成私钥id_rsa和公钥id_rsa.pub， 再执行命令
ssh-copy-id&user1@HostB&
将公钥拷贝到Host B上，并需要输入Host B上的user1密码，则Host A到Host B ssh 免密码登录
将Host A上的私钥scp到Host B上
scp&~/.ssh/id_rsa&user1@HostB:~/.ssh/&
将Host A上的公钥名id_rsa.pub 改名为authorized_keys
mv&~/.ssh/id_rsa.pub&~/.ssh/authorized_keys&
至此，Host B 到Host A ssh 也免密码登录。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)注册 | 登录
登录认证产品经理
从零开始学运营，10年运营老司机带路，2天线下集训+1年在线学习，做个优秀的运营人。
运营商免密登录，又称运营商网关认证登录，是基于运营商移动4G网，直接认证用户手机号码，实现用户不要输入账号密码即可登录到应用的登录认证方式，为运营商独有的登录认证技术。
目前运营商的免密认证能力主要跟运营商的账号体系相连接，主要应用在运营商登录认证产品使用。
移动端产品使用流程为：点击免密登录-识别用户手机号码-登录到应用。
图以天翼云盘为例，说明免密登录的移动端登录流程
web端产品使用流程为：使用应用扫一扫功能-扫描登录二维码—用户授权登录— 电信网关认证成功-用户登录成功
图列为用户登录天翼账号免密登录web端的流程图，体验网址：
此外，当免密登录不能正常使用的情况下，用户可跳转至天翼账号的手机短验登录+账号登录或账号密码登录。
运营商免密登录对于产品与用户的价值
对于产品的价值
提升用户转化率
免密登录认证用户的手机号，可以减少用户的登录路径，有利于提升用户转化率，避免在登录流程中的用户流失。
节约短信成本
使用免密登录的产品不需要短信验证码，目前短信的验证码的市面成本价是0.05元，有效减少了短信验证码所消耗的成本。
产品可快速获得更多用户信息
目前接入天翼账号的免密登录，除用户ID、头像、昵称等，接入方可获得用户手机号及手机号开销户等信息的，对比其它登录方式，接入方获取的用户信息更多。
避免账号密码库被盗风险
免密登录认证的是用户手机号，不涉及用户输入密码登录环节，从这个角度而言，产品无需做账号密码库，避免账号密码库被盗的风险。
对于用户的价值
由于免密登录是直接认证用户手机号，相对于传统的账密登录以及手机短验登录等，免密登录的对于用户的价值主要有：
让用户远离了账号密码被盗的风险。
不需要进行密码设置，减少用户操作成本。
避免用户因为忘记密码而无法登录或者操作找密流程。
使用免密登录的条件
需在运营商的移动4G网络下进行使用。
免密登录的认证能力掌握在运营商手里，目前只针对内部应用开放或者有合作关系的应用开放使用，有接入资质的门槛。
免密登录对于应用的登录认证解决方案
免密登录是基于运营商的网关认证技术而设计的登录解决方案，同时，基于运营商技术实力下，可为接入的应用带来运营商特有的互联网产品解决方案。
下面我将选择人人都是产品经理、摩拜单车的APP，使用免密登录+运营商能力进行登录流程的挑战设计。相关产品的产品经理如果看到此挑战设计方案，有不同的意见或建议，欢迎给我留言与讨论。
登录设计挑战1：:人人都是产品经理的登录设计方案
人人都是产品经理（以下文章简称：人人）现有的登录设计流程：
人人的登录流程设计默认为账密登录+第三方登录（微信登录），注册流程为手机短验流程，具体流程为手机短验验证— 填入昵称+密码—注册成功后登录到应用。
图为人人的登录流程示意图
人人都是产品经理现有的登录设计点评：
人人作为主打内容的社区型应用且公司背景为创业型公司，其登录设计贴近其产品形态与公司背景，用2词概括为“简洁+低成本”。
“简洁”体现在：3个页面即可注册到应用，并将昵称与密码设计在同一个页面，登录设计减少了用户操作路径。
“低成本”体现在：默认账密登录且只设计1个第三方登录应用，将登录的研发对接成本与短信认证的成本降低。
体验了人人的登录流程后，决定给人人的登录设计方案中继续将“简洁+低成本”设计理念深化，其方案示意图如下:
深化“简洁”设计理念：
老用户使用直接使用互联网运营商的免密登录，识别用户的手机号即可登录到应用，新用户识别手机号后直接到昵称+密码页面。老用户只需点击1次授权按钮即可登录到应用，新用户注册省掉了手机短验环节。（备注：在注册页面的设计中，如果使用免密登录是可以不用设计登录密码模块的，之所以保留是因为传统的账密登录是具备其它登录方式没有的优势，关于账密登录的解析会在我接下来的文章体现，欢迎大家持续关注我的专栏）
深化“低成本”设计理念：
使用免密登录为主登录，用户只需点击“授权登录”按钮即可识别其手机号，直接登录到应用，有效减少了短信支出成本，同时也减少了用户操作成本。
登录设计挑战2：摩拜单车登录设计方案
摩拜单车现有的登录设计流程
摩拜单车登录流程默认设计为手机短验认证+第三方登录认证，当使用第三方认证时，需要对手机号进行验证，若需使用单车时需要对用户进行实名认证。
图为摩拜单车的登录设计图与实名认证展示图等
摩拜单车现有的登录设计点评：
摩拜单车的认证方案需要对用户手机号认证+用户实名认证（备注：校园认证也属于实名认证的一种，目的为识别用户的真实身份），但在用户实名认证能力设计中有个硬伤，硬伤在于实名二要素的认证与学校证件号的认证方式极易被假冒认证，即知悉别人的姓名+身份证或学校+校园证件号即可进行认证，对于摩拜这类对用户的真实身份认证级别高的产品，认证安全级别显得不足。
登录设计挑战方案：
对于摩拜单车的设计挑战方案为：“一减一增”，即减少手机号认证流程，增加认证安全级别，其方案示意图为：
备注：方案示意图中实名认证因在实际使用中一般为接口调用的形式，图片仅为展示运营商的手机号+姓名+身份证号的认证能力图。
“一减”设计理念：减少对手机号认证，直接使用运营商的免密登录，减少用户登录路径。
“一增”设计理念：使用运营商的手机号+姓名+身份证号的认证，增加实名认证的认证接级别。
免密登录总结
免密登录相对于账密登录，手机短验登录、第三方登录等登录方式，目前而言还是属于小众的登录方式，在今后的解析登录认证方式文章中，还会为大家介绍更多不常见的登录认证方式，欢迎大家持续关注我写的文章。另外，本次在解析登录认证方式中挑战了时下热门的登录设计方案，如有不足之处，欢迎大家拍砖与吐槽。
作者：喵小五，登录认证产品经理，专注于登录认证及相关数据产品设计，喵小五有一个夏日梦想，就是为大家解析一个夏季的互联网登录认证方式。
本文由 @喵小五 原创发布于人人都是产品经理。未经许可，禁止转载
原创不易，欢迎赞赏(*^▽^*)
赞赏3人打赏
收藏已收藏 | 24赞已赞 | 17
登录认证产品经理
产品经理群运营交流群求职招聘群
Axure交流群
文案策划交流
关注微信公众号
10个回答15人关注
0个回答0人关注
8个回答24人关注
9个回答7人关注
7个回答70人关注
13个回答20人关注短信验证码隐患重重：谁将替代它
来源：本站原创　时间：　作者：盾盾
随着移动互联时代的发展与技术创新，商业银行也纷纷在网络金融领域重点发力，参与这场划时代的变革。截至2016年6月，我国网上支付用户规模达到了4.55亿，其中手机网上支付用户占比93%，快捷支付、移动支付已成为人们日常生活中不可分割的一部分。然而，在复杂的互联网安全态势下，各类风险事件频发。如2016年4月，不法分子利用运营商网上4G自助换卡的业务漏洞，从用户手中骗取短信验证码后，补办了用户的SIM卡，将该SIM卡绑定的相关银行卡中的资金全部转移；6月，不法分子通过二次打包某APP，在APP中植入“木马”病毒，监控用户的短信验证码，获取短信验证码后将资金转移。实际情况是，移动支付产品愈发便捷，各类诈骗手段也在不断升级，比如电信诈骗从传统的撒网式诈骗向结合用户信息的定点诈骗演化，而且往往结合移动端木马攻击等手法，仿冒用户身份，盗取用户财产。银行业在重视用户便捷体验的同时，做好身份认证体系升级，换句话说，如何更高效地识别“你就是你”，迫在眉睫。可以说，唯有赢得用户的安全信心，在线金融业务才能走得更远。账号密码、短信验证码能证明是你吗？比如当用户登录银行APP时，只凭“账号+密码”就可以进行支付和交易等一系列操作吗？显然不是这么简单，为什么？因为每年都有大量的网上账号密码、银行卡等信息泄漏事件曝光，即使是大的在线服务商也不能幸免。因此，除了账号密码验证，还有第二道身份验证程序，那就是短信验证码，用其来验证是否为本人操作，极简单便捷。相信大家都很了解，无非就是平台发送短信验证码4位或者6位数字到我们的手机终端，我们再将收到的数字输入平台，即可完成交易。那么，手机短信验证码能保证安全吗？答案是不能。为什么这么说呢，因为它并不能证明“你是你”，不法分子想要截取你的验证码，也是分分钟的事儿：1“木马”病毒窃取手机验证码：通常，木马会被不法分子伪装在看起来很正常的手机软件中，或者通过链接、图片等方式诱导用户下载或点击，一不留神，你的手机就会被种下“木马”， 将用户的涉及财产的应用账号密码重置，并拦截短信验证码，实现重置用户的账号，从而进行盗刷。对大多数银行来说，PC端的网上银行业务广泛采用UKey数字签名技术，安全性高；对于手机银行，仍主要采用手机短信验证码的方式。而手机短信验证码方式安全性低，易被获取，难以对抗木马，所以，目前手机银行业务存在一定安全风险。2补卡攻击—SIM卡被复制：不法分子利用运营商补卡漏洞，对用户的SIM卡进行克隆，得到一个与用户相同的手机号，这样就能接收用户的短信验证码，并可以重置用户的各种账号，进行转移和窃取用户资金。这个主要是部分地区的运营商对补卡人员的身份信息验证不严谨，导致出现了补卡攻击。3无线电监听：简单来说就是通过伪基站对用户手机进行监听，这里主要包括GSM监听，包括监听空中短信，直接获取短信内容，不过这种方式的成本较高，而且对距离有一定的限制，距离太远是不行的。那么，账号密码怎么会落在不法分子手里呢？你需要知道的是，目前我国网络诈骗黑色产业链规模超过1100亿元，从业人员160万人，2016年网民因为垃圾信息、诈骗信息和个人信息泄露等原因，导致损失约 805 亿元，七成左右的网民个人身份信息和个人网上活动信息均遭到泄露。所以说你的账密等信息可能早已泄露在网上。有了账密，有了短信验证码，“谁都可以是你“。然而，短信验证码身份认证仍然是很多银行和支付平台常用的移动身份认证方式。诚然，短信验证码具有用户体验好，成本相对较低的优势，但其以短信发送单次密码的方式，安全风险显而易见。央行新规落地加强支付结算管理2016年9月，央行261号文件的发布为商业银行和支付机构防范打击信息诈骗、最大限度保护用户账户资金安全提供了强有力的政策支持。《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》明确要求，非柜面业务超5万元，应当采用数字证书或者电子签名等安全可靠的支付指令验证方式；单位、个人银行账户非柜面转账单日累计金额分别超过100万元、30万元的，银行应当进行大额交易提醒，单位、个人确认后方可转账。金融业需要怎么样的安全认证？总的来说，当前银行系统常用的身份认证方式除了短信验证码外，还有令牌和U盾。从安全性的角度考虑，U盾呢，无疑是这其中安全系数最高的认证方式，我们在电脑上操作网银转账时，通常会用到U盾，它可以保障我们的交易安全。但是，在移动互联爆发的时代，我们在登录手机银行APP操作时要随身携带U盾吗？显然，它的用户体验很差。而在用户体验方面，短信验证码优于令牌，而令牌又优于U盾。也就是说，短信验证码作为身份认证方式的安全级别是最低的，但出于用户体验考虑，在身份认证领域仍然被广泛应用。那么，到底有没有一种兼顾安全性和便捷性的身份认证方式，这才是用户所需要的。兼顾安全与便捷的新一代身份认证能够对抗黑产和不法分子花样百出的账号、资金盗取方式的，只有技术创新。在身份认证技术的发展浪潮中，通付盾的HUE多因子身份认证解决方案实现了兼顾安全与便捷的新一代身份认证。HUE多因子身份认证产品采用通付盾设备指纹、时空码等多项安全专利以及PKI、数字签名等技术，实现了安全扫码、重要信息确认、生物识别特征等在内的多种身份认证方式。用户只需持移动设备（如手机）即可完成身份认证、电子签名，安全强度可媲美U盾，用户体验极佳！移动端转账流程（以银行转账为例）▼客户可根据不同的业务场景及风控需求，配置不同安全强度的身份认证策略，以平衡业务安全度与用户便捷性。多因子身份认证集成部署简单，兼容性强，适用于转账汇款、支付交易、信息修改、资金提现、流程审批等强身份认证要求的业务场景。HUE多因子身份认证同样支持web端业务，移动设备可代替U盾，实现“手机在手，钱偷不走”！再来看看它的核心技术有哪些？设备指纹：通付盾设备指纹基于国际领先的设备识别技术，通过快速获取上网设备的软件、硬件、行为等多项属性信息，为每一个操作设备生成全球唯一的设备标识号码，实现精准识别上网设备的历史操作轨迹，其独到之处是完整刻画“设备画像”。时空码：通付盾独有的核心技术时空码，通过动态算法、去中心化校验、设备指纹、传输加密、时间、空间、行为等多重安全因子的有机结合，作为底层技术植入身份认证产品中，实现精准识别企业平台用户真实身份，进而确保账号安全和交易安全等。通付盾HUE多因子身份认证集安全与便捷于一身，在实现准U盾级认证方式的同时，用户通过安全信道，以手机为终端确认账户登录、转账等关键操作，便捷性甚至不输短信验证码，实现极致的用户体验，其有着其他认证手段所不可比拟的优势。总之，把身份认证应用到网络安全中，首先要根据用户认证方式和实际需求来进行综合考虑分析，只要是能够满足用户的安全与便捷性就是最好的。在账号盗用情况日益猖獗、黑产技术水平不断升级的未来，通付盾HUE多因子认证的市场表现将越发值得期待。通付盾科技日
通付盾官方微博
通付盾官方公众号}